重新编译开源代码绕过杀毒软件(无导入表编译)

最新推荐文章于 2024-02-17 11:00:30 发布
最新推荐文章于 2024-02-17 11:00:30 发布
阅读量802 收藏 1
点赞数
分类专栏: 我的随笔 文章标签: 免杀 病毒 网络安全 bypass 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15807207/article/details/102923828
版权

重新编译开源代码绕过杀毒软件

由于大多数加壳软件并不会修改被修改文件的导入表,所以杀毒软件除了计算整个可执行文件的hash值外还会计算pe文件的导入表(import address tables)的hash值,通常采用的hash算法为MD5,本文旨在使木马文件不再依赖导入表,从而绕过部分静态查杀。

阅读本文前置知识

  1. pe文件结构
  2. windows api
  3. c/c++语言编程基础

敏感api调用

杀软会对iat表中的一些敏感函数进行检查,如CreateRemoteThread,VirtualAlloc等,CreateRemoteThread的功能是在其他进程中创建一个线程,众所周知线程就是实际的执行体,那么我们的这个行为就会被杀软关注并检查,那么我们如何解决这个问题呢?

确定APi函数

在我们尝试规避检测之前我们需要先确定哪一些是API函数,比如下面这个代码:

#include<stdio.h>
#include<Windows.h>

int main()
{
   
	printf("hello world\n");
	MessageBoxW(0, TEXT("hello world"), 0, 0);
	return 0;
}

如果你不确定哪一个函数是windows的api的话,我们可疑先把他编译出来,然后通过pe查看工具来定位api函数,这里我使用了大家都很熟悉的printf和messageboxW函数。

->Import Table

  1. ImageImportDescriptor:

OriginalFirstThunk:  0x0001B2F0
TimeDateStamp:       0x00000000  (GMT: Thu Jan 01 00:00:00 1970) 
ForwarderChain:      0x00000000
Name:                0x0001B45A  ("USER32.dll")
FirstThunk:          0x0001B098

Ordinal/Hint API name
------------ ---------------------------------------
0x0286       "MessageBoxW"

  2. ImageImportDescriptor:

OriginalFirstThunk:  0x0001B320
TimeDateStamp:       0x00000000  (GMT: Thu Jan 01 00:00:00 1970)
ForwarderChain:      0x00000000
Name:                0x0001B52C  ("VCRUNTIME140D.dll")
FirstThunk:          0x0001B0C8

Ordinal/Hint API name
------------ ---------------------------------------
0x001C       "__current_exception"
0x001D       "__current_exception_context"
0x0048       "memset"
0x0035       "_except_handler4_common"
0x002E       "__vcrt_GetModuleFileNameW"
0x002F       "__vcrt_GetModuleHandleW"
0x0031       "__vcrt_LoadLibraryExW"
0x0025       "__std_type_info_destroy_list"

  3. ImageImportDescriptor:

OriginalFirstThunk:  0x0001B370
TimeDateStamp:       0x00000000  (GMT: Thu Jan 01 00:00:00 1970)
ForwarderChain:      0x00000000
Name:                0x0001B7EE  ("ucrtbased.dll")
FirstThunk:          0x0001B118

Ordinal/Hint API name
------------ ---------------------------------------
0x0545       "strcat_s"
0x0111       "_exit"
0x02EE       "_seh_filter_dll"
0x0197       "_initialize_onexit_table"
0x02E2       "_register_onexit_function"
0x010C       "_execute_onexit_table"
0x00E8       "_crt_atexit"
0x00E7       "_crt_at_quick_exit"
0x00E0       "_controlfp_s"
0x0566       "terminate"
0x03C9       "_wmakepath_s"
0x03E5       "_wsplitpath_s"
0x057F       "wcscpy_s"
0x0073       "__p__commode"
0x0476       "exit"
0x019A       "_initterm_e"
0x0199       "_initterm"
0x0162       "_get_initial_narrow_environment"
0x0196       "_initialize_narrow_environment"
0x00DC       "_configure_narrow_argv"
0x0081       "__setusermatherr"
0x02F2       "_set_app_type"
0x02EF       "_seh_filter_exe"
0x0015       "_CrtDbgReportW"
0x0014       "_CrtDbgReport"
0x0082       "__stdio_common_vfprintf"
0x0045       "__acrt_iob_func"
0x0549       "strcpy_s"
0x02FA       "_set_new_mode"
0x00DB       "_configthreadlocale"
0x02E3       "_register_thread_local_exe_atexit_callback"
0x00C5       "_c_exit"
0x00CA       "_cexit"
0x0070       "__p___argv"
0x006F       "__p___argc"
0x02F7       "_set_fmode"
0x008E       "__stdio_common_vsprintf_s"

  4. ImageImportDescriptor:

OriginalFirstThunk:  0x0001B258
TimeDateStamp:       0x00000000  (GMT: Thu Jan 01 00:00:00 1970)
ForwarderChain:      0x00000000
Name:                0x0001B9D2  ("KERNEL32.dll")
FirstThunk:          0x0001B000

Ordinal/Hint API name
------------ ---------------------------------------
0x02D0       "GetStartupInfoW"
0x058C       "TerminateProcess"
0x0217       "GetCurrentProcess"
0x02AE       "GetProcAddress"
0x01AB       "FreeLibrary"
0x05CE       "VirtualQuery"
0x02B4       "GetProcessHeap"
0x0349       "HeapFree"
0x0345       "HeapAlloc"
0x0261       "GetLastError"
0x0278       "GetModuleHandleW"
0x0386       "IsProcessorFeaturePresent"
0x021C       "GetCurrentThreadId"
0x056D       "SetUnhandledExceptionFilter"
0x05AD       "UnhandledExceptionFilter"
0x0363       "InitializeSListHead"
0x02E9       "GetSystemTimeAsFileTime"
0x0218       "GetCurrentProcessId"
0x044D       "QueryPerformanceCounter"
0x05FE       "WideCharToMultiByte"
0x03EF       "MultiByteToWideChar"
0x0462       "RaiseException"
0x037F       "IsDebuggerPresent"

现在我们确定了messageboxw是windows函数外,还看到很多并非我们指定的函数加载,这是由于在进程初始化前并不单单执行我们定义的代码,还会调用其他的系统函数,至于printf函数至少最外层并非windows api函数,这里不过多讲解。

GetProcAddress函数

在确定api函数后,我们可以通过windows提供的另一个函数来确定其他函数的函数地址,获得地址后,我们可以通过定义函数指针的方式来执行函数。

#include<W
最低0.47元/天 解锁文章
idiot cat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对抗-ShellCode上线+回调编译执行+混淆变异算法
xiaoheizi的博客
09-10 2593
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。2.将shellcode放到执行脚本中(使用的调用执行方式是:申请动态内存加载),利用C/C++语言编译成exe执行文件。因为shellcode的免手段多,损坏的可能性小,能自定义更多选择。3.将新的shellcode放到自写的执行脚本xor.cpp中,使用。
(记录向)Python_MAC加密&C++还原免(国内软基本通
daxi0ng的博客
09-02 1011
国内软基本通
Shellcode免对抗(C/C++)
最新发布
qq_74806534的博客
02-17 2万+
这里便是软件的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台软件都有了已经,所有我们就要用新的,特征没有被锁定。
如何利用十行代码,绕过软件实现免
qq_28247467的博客
03-30 2381
我原本打算写一篇冗长的博客讲述针对不同软件绕过技术,但当我始着手写教程的第一章并上传样本到 virustotal 后,我震惊了!样本得到了 0/56 的检测率。于是我决定扔掉先前的长篇大论,转而记录这个快速、令人难以置信的简单方法。 我相信大部分的读者都会同意这个观点,绕过大部分软件的基本方法都很平常没什么特殊的。然而,我也偶尔会遇到一些人仅仅依靠工具生成二进制文件,这些文件很容易被
exe免c语言,实验使用 C 编译 shellcode 免上线
weixin_39540018的博客
05-19 575
实验了一下这篇文章里面介绍的免方法:[使用 C 编译 shellcode 免上线](https://www.xljtj.com/archives/c-shellcode.html?from=timeline&isappinstalled=0)。这篇文章已经把步骤写的很清楚了,但是我会在本文中也记录清楚每一步,因为文章可能说没就没,记下来自己留个备份。顺便记下我遇到的几个mini tin...
对抗-成品EXE免-反特征码-通用跳转
xiaoheizi的博客
10-04 1243
1.将工具和exe程序放到环境中,启动程序,点击制作测试文件---选择exe程序,点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒,所以我们自己搭建一个火绒环境,使用VirTest工具检测出exe程序的什么地方被火绒了。所以需要再次修改特征码处:将保存了00区间修改的exe程序拖入ollydbg工具中,搜索定位特征码汇编地址后四位。22.启火绒检测,只保存了00区间修改的半成品被了。9.定位到特征码处,向下滑动一下,然后选中复制,将特征码的汇编地址保存起来。
厉害!免任意EXE
南迪叶先森
07-06 2918
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! PE文件 PE文件简述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL),这篇文章主要讲对EXE文件进行内存加载并运行的方法,代码实现,和完成一个GUI加载器工具的全过程。 文件结构 由上图可以 Dos Header 是用来兼容MS-DOS操作系统的,目的是当.
exe技术探讨
goddemon
07-19 1139
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任最近把大部分的语言的捣鼓分析了下c的python的rust的go的常见的语言市面上有的都研究了下也写了一下自己的发觉python的确实可以说是最简单的了,不过其实深入免的话还是得进程注入走ring0层去对抗软,不然单纯的静态过了终究有些行为还是会呗动态这篇分享一篇python的吧效果看正文全过的也有不过现在肯定是不会发的。...
C#反编译源代码
03-27
dnSpy 是一款针对 .NET 程序的逆向工程工具。该项目包含了反编译器,调试器和汇编编辑器等功能组件,而且可以通过自己编写...该项目使用 dnlib读取和写入程序集,以便处理有混淆代码的程序(比如恶意程序)而不会崩溃。
介绍几款源Java反编译得到源代码工具.zip
01-08
介绍几款源Java反编译得到源代码工具.zip
VC反编译软件(可反编译代码)
09-18
VC反编译软件,一款可以反编译代码的软件
ILSpy .net源反编译软件
10-20
ILSpy .net源反编译软件
ILspy 反编译软件
04-23
ILSpy 是一个源的.NET反编译工具,简洁强大易用是它的特征。在绝大多数情况下,它都能很好的完成你对未知程序集内部代码的探索。
MSF编码+VS编译木马免
向阳-Y.的博客
03-16 2314
木马免
绕过软(二)——免exe文件(360、火绒免
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 启360,直接报,不免 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打之后,将base6
绕过软件之一(实时监控篇)
老裴
06-21 6521
软件的实时监控分为两个部分  一:Notify部分  二:Attach到文件系统部分一:Notify对与软件致关重要(有些流氓软件也用的),主要用到的是   PsSetLoadImageNotifyRoutine和   PsSetCreateProcessNotifyRoutine这两个函数1 PsSetLoadImageNotifyRoutine(  IN PLOAD_IMAGE_NOT
C/C++编程:std::type_info
OceanStar的博客
03-09 2635
#include <typeinfo> class type_info; 类type_info保有一个类型的实现指定信息,包括类型的名称和比较两个类型相等的方法和相对顺序。这是 typeid 运算符所返回的类。 type_info 既非可复制构造 (CopyConstructible) 亦非可复制赋值(CopyAssignable) 。 std::type_info::before if(typeid(int).before(typeid(char))) std:
堆溢出崩溃分析Critical error detected c0000374
顺其自然~专栏
05-18 3206
(Owed by: 春夜喜雨 http://blog.csdn.net/chunyexiyu) 参考:https://blog.csdn.net/q610098308/article/details/94630682 参考:https://blog.csdn.net/weitaming1/article/details/84023789 参考:https://stackoverflow.com/questions/23471161/critical-error-detected-c0000374-c-d..
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8277
随着近几天国家网络安全宣传周在全国各地展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
导入的代码的为什么要重新编译
06-11
当你导入一个代码项目时,一般情况下你需要重新编译代码,以确保代码能够在你的发环境中正确运行。这是因为编译器可能会针对不同的操作系统、不同的编译器版本、不同的 JDK 等存在差异,如果你直接使用别人编译好...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值